设置单点登录 (SSO) 后,您可以通过 Udemy Business 在 Azure Active Directory (AD) 中为 Udemy 配置跨域身份管理 (SCIM 2.0) 预配。这将允许您在 Azure AD 中配置、取消配置、创建群组、管理群组成员和更改用户个人资料详细信息(如姓名和电子邮件地址),这会自动 更新Udemy Business。您将不再需要使用这些操作分别更新 Azure AD 和 Udemy Business,因为他们都将在 Azure AD 中同步。
要为您的 Udemy Business 帐户启用 SCIM 配置,请先转到您的 Udemy Business 帐户,然后访问管理 > 设置 > 配置 (SCIM)。
点击开始设置,按照说明启用 SCIM 并生成密钥令牌(持有者令牌),然后您需要将其放置在 Azure AD 中。
请注意:
- 必须在激活 SCIM 之前启用 SSO
- Udemy Business Enterprise 方案客户可以使用单点登录和配置。
- 通过 Azure AD 配置的用户在首次登录 Udemy Business 应用之前不会获得许可证。
- SCIM 配置更改只能从 Azure AD 同步到 Udemy Business,反之则不行。
- 在 Udemy Business 应用中,无法在 Azure AD 中更改由 SCIM 管理的用户和群组,SCIM 是用户和群组数据的唯一真实来源。
- 如果您有不需要或不想从 Azure AD 推送的用户(如承包商或临时员工),仍然可以在 Udemy Business 中手动创建群组。
使用 Azure AD 配置 SCIM 配置
1. 要为您的 Udemy Business 帐户启用 SCIM 配置,请先转到您的 Udemy Business 帐户,然后访问“管理”>“设置”>“配置 (SCIM)”。
2. 点击开始设置,选择您的身份提供程序,并按照说明生成密钥令牌(持有者令牌),然后您需要将其放置在 Azure AD 中。
3. 然后访问您的 Azure AD 帐户,转到您的 Udemy Business SSO 应用,并按照以下步骤进行设置。您还可以参考 Microsoft 自己的有关使用 Azure AD 进行 SCIM 配置的配置指南,以获取进一步的指导。
在您的 Azure 门户中,转到配置。
(请注意:在下面的屏幕截图中,udemyazure 是我们使用的测试名称,用于说明如何配置 SCIM;您应当找到在您自己的实例中进行配置时由您的团队命名的应用)
4. 选择自动作为配置模式。
5. 在管理员凭据部分:
租户 URL 为:https://yourdomain.udemy.com/scim/v2(yourdomain 是您的 Udemy Business 帐户的 URL)。
密钥令牌:这是可以在您的 Udemy Business 帐户中生成或查看的“持有者”令牌。(转到“管理”>“设置”>“用户访问”以获取密钥令牌)。
6. 点击测试连接以检查是否正常运行。
可选:如果想要从 Azure 接收有关错误的警报,可以输入电子邮件地址。
7. 在映射中:
检查属性映射:
请确认 userName, active, emails[type eq "work"].value 和 externalId 已添加到 customerappsso 属性中,因为 SCIM 预配在 Udemy 中运行需要这些字段。
确认用户的电子邮件已映射到电子邮件 emails[type eq "work"].value
确认属性 Switch([IsSoftDeleted], , "False", "True", "True", "False") 已映射到 active,以允许停用传递用户。
8. 向下滚动到“用户属性映射”的底部,并启用显示高级选项。
选择编辑 customapsso 的属性列表,并为 id 和 userName
启用正确大小写
9. 返回主预配设置屏幕:
将“配置状态”按钮切换到开启状态。
10. 选择您想要同步用户和群组的范围。
如果您需要限制某些员工或部门的访问权限,可以仅同步分配了 Udemy Business 应用的用户和群组。或者,如果每个员工都有访问权限,则可以同步所有用户和群组。
为了向更多用户和群组配置 Udemy Business 访问权限,可以执行以下操作:
11. 点击用户和群组
12. 点击添加用户 (可用于选择添加用户和群组)
选择要添加到应用的所有用户或群组,然后点击选择。
故障排查
关于映射:
如果在配置时遇到以下错误:
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
您应当更改该用户的映射。
emails[type eq "work"].value 需要映射到 userPrincipalName,即,如果 userPrincipalName 是电子邮件所在的位置。
如果您转到用户个人资料,您应当可以在其中看到包含电子邮件的字段。